Samochody wszystkich marek są obecnie wyposażane w technologię i aplikacje nie w pełni zrozumiałe dla większości kierowców. Powodowani ekscytującą możliwością przejęcia pełnej kontroli nad inteligentnymi samochodami, właściciele pojazdów bezrefleksyjnie zgadzają się połączyć swoje smartfony i konta osobiste z wieloma aplikacjami i urządzeniami sterowanymi smartfonem, ale problemem jest to, że wiele z nich ma dotąd nieusunięte luki w zabezpieczeniach.
Inteligentne samochody w zasięgu zdalnego ataku
Dziś już wiemy, że stosowanie hasła sprzętowego narażało samochody na zdalny atak.
Tysiące samochodów pozostaje podatnych na zagrożenia, jakie stwarzają działania hakerów usiłujących zmieniać ustawienia inteligentnych urządzeń za pomocą mobilnych aplikacji telematyki, do których dostęp chroniony jest hasłem sprzętowym – ostrzegają specjaliści.
Ostatnio pod rozwagę wzięto aplikację MyCar Controls, znaną również jako CarLink, Linkr, Visions MyCar lub MyCar Kia, opracowaną przez Automobility Distribution Inc. Jest ona niezwykle popularna zarówno wśród użytkowników iOS, jak i Androida, ponieważ pozwala wykorzystać smartfon do ustawiania temperatury, lokalizowania pojazdu, otwierania bagażnika, włączania i wyłączania alarmu bezpieczeństwa, blokowania i odblokowywania drzwi i wykonywania innych drobnych zadań.
„W aplikacji mobilnej MyCar Controls uwierzytelnianie może być realizowane – zamiast za pomocą nazwy i hasła użytkownika – z wykorzystaniem administracyjnego hasła sprzętowego (CWE-798), które przeznaczone jest do komunikowania się aplikacji z punktem końcowym serwera, przypisanym użytkownikowi docelowemu” – napisano w raporcie.
– Problem wynikał z tego, że hasło nie było szyfrowane, co stanowiło krytyczną lukę w zabezpieczeniach. Pozwalała ona stronie trzeciej zdalnie zmieniać ustawienia samochodu lub kraść dane użytkownika. Przestępcy mogli nawet uzyskać fizyczny dostęp do pojazdu – wyjaśnia Mariusz Politowicz, inżynier techniczny Bitdefender z firmy Marken Systemy Antywirusowe (https://bitdefender.pl)
Luka została natychmiast załatana (w lutym), a ten typ poświadczenia usunięto.